盘点：互联 上无处不在的”僵尸”

你可能听说过僵尸 络DDOS攻击这个词，2016年底Mirai僵尸 络DDOS攻击的出现将这个词牢牢地固定在 络安全领域了。

但是，尽管这个词可能很熟悉，但你可能并不熟悉僵尸 络的实际情况。你也可能不知道它们是 络犯罪分子的一项非常新颖的创新，僵尸 络正在更多的用于各种 络攻击活动。

僵尸 络有时被称为计算机的“僵尸军队”

僵尸 络的控制方式

僵尸 络可以由僵尸主控制器以几种不同的方式进行控制。

传统上，僵尸 络可能是由一台C＆C服务器控制的。在这种情况下，Bot设备会回到一个预定的位置并等待来自服务器的命令。Bot控制者将命令发送到服务器，然后服务器将命令转发到Bot 络，然后收集的结果或信息由Bot设备发送回该中央服务器。

但是，拥有一台集中式服务器使得僵尸 络更易受到攻击和破坏企图的影响。出于这个原因，许多僵尸 络的控制者现在大多使用对等（P2P）模型。

在P2P僵尸 络中，互连的僵尸设备共享信息，而无需向中央服务器 告，即被感染的僵尸设备既发送命令又接收命令。这些僵尸设备然后探测随机IP地址以联系其他受感染的设备。一旦联系，Bot设备会回复诸如其软件版本和已知设备的列表等信息。如果联系的Bot具有较新的软件版本，则另一Bot将自动将其自身更新为该版本。这种方法允许僵尸 络增长并保持更新，而不需要联系中央服务器，这使得执法机构或其他机构更难以取缔僵尸 络。

僵尸 络用于做什么/h3>

僵尸 络最常见的两种用途是发送垃圾邮件活动，并进行分布式拒绝服务（DDoS）攻击。

Bot设备也可以用来发送电子邮件恶意软件，而且不同类型的恶意软件可能有不同的目标，包括从受感染的计算机收集信息。其中可能包括密码、信用卡信息以及可以在黑市上销售的任何其他信息。如果企业 络中的设备变成Bot设备，那么敏感的公司信息也可能有被盗的风险。

Bot设备通常也用于点击欺诈，访问 站创建虚假流量并为Bot设备的所有者创造收益，它们也常常被用于比特币挖掘。

臭名昭著的6个僵尸 络

GameoverZeus是一个臭名昭着的僵尸 络，它用于窃取人们的银行信息

历史上出现了许多僵尸 络，但其中有一些僵尸 络比其他僵尸 络更有影响力，这里有六个非常著名的僵尸 络：

Bagle

Bagle是世界上第一个僵尸 络之一，它被用来进行大规模的垃圾邮件活动。它出现在2004年，它主要是微软Windows电脑设备组成的。Bagle是一种感染超过20万台电脑的蠕虫，据估计，该病毒发出的垃圾邮件占全球垃圾邮件总数的10％以上。

Conficker

Conficker是一个臭名昭著的计算机蠕虫，最早出现在2008年底，并一直是困扰着 络安全人员。

据估计，清理Conficker的成本高达90亿美元，令人惊讶的是，尽管事实上它已经发布了近十年，但感染Conficker的计算机依然存在。

ZeroAccess

ZeroAccess僵尸 络是目前已知的最大的僵尸 络之一，它出现于2013年，是一只拥有近200万台电脑的军队僵尸 络。由于使用了P2P +C＆C服务器的模式，这是一个很难对付的僵尸 络，但赛门铁克的研究人员在2013年对僵尸 络进行了调查，结果发现其中有近50万台Bot设备拥有sandbox（浏览器沙箱）。

ZeroAccess主要用于点击欺诈和比特币挖掘，考虑到该僵尸 络的规模，有人认为它在其活动高峰期为其背后的控制者带来了大量财富。

Gameover Zeus

Gameover Zeus是一个巨大的僵尸 络，主要用于窃取人们的银行信息。该僵尸 络拥有高达100万台计算机设备。据估计，僵尸 络已经被用来窃取超过1亿美元。

Gameover Zeus是Trojan.ZBot恶意软件的一个变体，并且现在它仍然很活跃。Gameover Zeus是原始恶意软件的复杂变体，它可以通过劫持数千名受害者的 上银行会话来促成大规模金融诈骗。与当前很多电子邮件恶意软件活动一样，它通常通过发送邮件形式发送。一旦受感染的用户访问了他们的银行 站，恶意软件会拦截会话，获取受害者的信息并窃取他们的钱。

虽然Gameover Zeus在2014年进行了删除，但Zeus恶意软件的许多变种目前仍处于活跃状态。

Necurs

Necurs是现在最活跃的最著名的僵尸 络之一。它是2016年恶意电子邮件的最大分销商之一，而且它还大规模的推广Locky勒索软件的活动。但是，它在2016年12月24日神秘地停止了运行，并且在近三个月内保持不活动。在此期间，赛门铁克（一家 络安全机构）检测到的恶意电子邮件的速度大幅下降。

3月20日恢复活动，赛门铁克仅在当天就阻止了近200万条恶意电子邮件。然而，自从它回归以来，Necurs公司一直没有专注于发送恶意电子邮件活动，而是一直发送“pump and dump（拉高出货）”股票垃圾邮件活动。它在12月份消失之前就开始发放这些类型的活动，并且在它回归之后加大力度继续做这件事。

发送股票垃圾邮件目的是通过鼓励受害者购买同一公司的股票来太高邮件发送者手中的股票价格。一旦股票价格被受害者购买股票推高，垃圾邮件发送者就会卖掉所有的股票。这导致股票价格急剧下跌，并且使受害者不太可能将手中的股票抛售。

Mirai

大多数人可能对Mirai很熟悉，Mirai在2016年的最后几个月肆虐了全球各地的 络，使用一系列物联 设备对全球各种目标发动DDoS攻击。

9月份Mirai的DDoS攻击的最初目标是主机提供商OVH以及安全专家Brian Krebs的 站。这些都是大规模的DDoS攻击，这在当时是有史以来最大规模的攻击，分别达到1 Tbps和620 Gbps。在9月底，Mirai在其在线黑客 区HackForums上发布升级，三周后，它又针对DNS提供商Dyn发动了大规模DDoS攻击以阻止用户访问几个知名 站，包括Netflix、Twitter和PayPal。

11月下旬，Mirai 络的一个变种在德国利用德国家庭的路由器中的一个漏洞进行互联 访问，导致近100万家庭互联 用户受到攻击；同样的漏洞也影响了爱尔兰家庭互联 用户的路由器。

Mirai僵尸 络主要由受感染的路由器和安全摄像头组成，这一事件凸显了物联 设备在安全方面是非常松懈的。

综述：

僵尸 络已经存在了很长一段时间，随着技术的不断发展，僵尸 络已经发展壮大。物联 设备的增长以及与互联 相关的设备数量的增加，僵尸 络发展的故事可能远未结束。未来我们可能会面临更多的僵尸 络DDOS攻击，如果你目前或者在未来也有这样的忧虑，欢迎体验 易云易盾的抗D服务。

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树首页概览22087 人正在系统学习中